- Se ISO 27002:2022 Kontroll 8.31 för mer information.
- Se ISO 27001:2013 bilaga A 12.1.4 för mer information.
- Se ISO 27001:2013 bilaga A 14.2.6 för mer information.
ISO 27001 Annex A 8.31: Varför det är viktigt att separera utvecklings-, test- och produktionsmiljöer
Att misslyckas med att separera utvecklings-, test- och produktionsmiljöer korrekt kan leda till förlust av tillgänglighet, konfidentialitet och integritet för informationstillgångar.
Till exempel satte Uber av misstag upp ett kodlager på Github som inkluderade lösenord från deras produktionsmiljö, vilket äventyrade konfidentialiteten för känslig data.
Organisationer bör upprätta lämpliga protokoll och regler för att separera utvecklings-, testnings- och produktionsinställningar för att utrota säkerhetsrisker.
Syftet med ISO 27001:2022 bilaga A 8.31
ISO 27001: 2022 Bilaga A 8.31 underlättar organisationer att bevara konfidentialitet, integritet och tillgänglighet för känsliga informationstillgångar via lämpliga processer, kontroller och bestämmelser. Den gör detta genom att isolera utvecklings-, test- och produktionsmiljöer.
Äganderätt till bilaga A 8.31
Ocuco-landskapet Chef för informationssäkerhet, med hjälp av utvecklingsteamet, ska vara ytterst ansvarig för att följa ISO 27001:2022 Annex A 8.31, som kräver etablering och implementering av organisationsövergripande processer och kontroller för att separera olika mjukvarumiljöer.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Allmän vägledning om ISO 27001:2022 bilaga A 8.31 Överensstämmelse
Organisationer bör överväga de produktionsfrågor som bör undvikas när de beslutar om den nödvändiga graden av separation mellan de tre miljöerna.
Bilaga A 8.31 föreslår att organisationer ska tänka på sju kriterier:
- Segregering av utvecklings- och produktionssystem till en tillfredsställande nivå rekommenderas. Till exempel, att använda distinkta virtuella och fysiska miljöer för produktion kan vara en hållbar lösning.
- Regler och auktorisationsprocedurer ska utformas, dokumenteras och implementeras avseende användning av programvara i produktionsmiljön efter att den har passerat utvecklingsmiljön.
- Organisationer bör utvärdera och testa ändringar av applikationer och produktionssystem i en isolerad testmiljö, utesluten från produktionsmiljön, innan de implementeras i produktionsmiljön.
- Ingen testning i produktionsmiljöer bör förekomma om den inte har definierats och godkänts i förväg.
- Utvecklingsresurser, såsom kompilatorer och redaktörer, bör inte vara tillgängliga i produktionsmiljöer om det inte är absolut nödvändigt.
- För att minska misstag bör korrekta miljöetiketter vara framträdande i menyerna.
- Inga känsliga informationstillgångar bör överföras till några utvecklings- eller testsystem om inte motsvarande säkerhetsåtgärder finns på plats.
Vägledning om skydd av utvecklings- och testmiljöer
Organisationer bör skydda utvecklings- och testmiljöer från potentiella säkerhetsrisker, med hänsyn till följande:
- Se till att alla utvecklings-, integrations- och testverktyg, t.ex. byggare, integratörer och bibliotek, korrigeras regelbundet och hålls uppdaterade.
- Se till att alla system och programvara är säkert konfigurerade.
- Lämpliga kontroller måste finnas på plats för åtkomst till miljöer.
- Ändringar av miljöer och deras koder bör övervakas och granskas.
- Säker övervakning och översyn av miljöer bör genomföras.
- Miljöer bör skyddas med säkerhetskopior.
Ingen individ ska ges privilegiet att göra ändringar i både utvecklings- och produktionsmiljöer utan att ha fått godkännande i förväg. För att undvika detta kan organisationer separera åtkomsträttigheter eller införa och utföra åtkomstkontroller.
Organisationer kan överväga ytterligare tekniska kontroller, som att logga alla åtkomstaktiviteter och övervaka åtkomsten till dessa miljöer i realtid.
Kompletterande vägledning om bilaga A 8.31
Om organisationer inte vidtar nödvändiga åtgärder kan deras informationssystem utsättas för betydande säkerhetsrisker.
Utvecklare och testare med åtkomst till produktionsmiljön kan göra oavsiktliga ändringar i filer eller systeminställningar, köra otillåten kod eller oavsiktligt avslöja känslig data.
Organisationer kräver en stadig inställning för att utföra grundliga tester av sin kod, vilket hindrar utvecklare från att komma åt produktionsmiljöer som lagrar och bearbetar känslig verklig data.
Organisationer bör tilldela specifika roller och genomdriva åtskillnad av arbetsuppgifter.
Utvecklings- och testteamen kan riskera att äventyra den konfidentiella produktionsdatan om de använder samma datorenheter. Oavsiktliga ändringar av känslig information eller program kan göras.
Organisationer uppmanas att sätta upp hjälpprocesser för att använda produktionsdata i test- och utvecklingssystem i enlighet med ISO 27001:2022 Annex A 8.33.
Organisationer bör överväga de åtgärder som diskuteras i denna bilaga A Kontroll när de genomför slutanvändarutbildning i utbildningsmiljöer.
Slutligen kan organisationer skymma gränserna mellan utveckling, testning och produktionsinställningar. Till exempel kan testning utföras i en utvecklingsmiljö, eller så kan personalen testa produkten genom att faktiskt använda den.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27001:2013
ISO 27001:2022 bilaga A 8.31 ersätter ISO 27001:2013 Bilaga A 12.1.4 och ISO 27001:2013 Bilaga A 14.2.6. Denna revidering gör de nödvändiga justeringarna för att få standarden i linje med den senaste praxisen.
De två versionerna har mycket gemensamt, men två skillnader är anmärkningsvärda.
ISO 27001:2013 bilaga A 14.2.6 Mer detaljerad vägledning om säkra utvecklingsmiljöer
ISO 27001:2013 Annex A 14.2.6 behandlar säkra utvecklingsmiljöer och beskriver 10 rekommendationer för organisationer att överväga när de bygger en utvecklingsmiljö.
Som jämförelse innehåller ISO 27001:2022 bilaga A 8.33 inte vissa förslag, som att ha en säkerhetskopia på en avlägsen plats och begränsningar för dataöverföring.
ISO 27001:2022 bilaga A 8.31 behandlar produkttester och användning av produktionsdata
I jämförelse med ISO 27001:2013 erbjuder ISO 27001:2022 Annex A 8.31 vägledning om produkttestning och användning av produktionsdata i linje med ISO 27001:2022 Annex A 8.33.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Bilaga A Kontrollera.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Hur ISMS.online Hjälp
ISMS.Online ger support för hela ISO 27001 implementering, från riskbedömning till skapandet av policyer, procedurer och riktlinjer för att följa standarden.
ISMS.Online erbjuder ett bekvämt tillvägagångssätt för att registrera upptäckter och dela dem med kollegor online. Den gör det också möjligt för dig att skapa och lagra checklistor för varje ISO 27001-uppgift, vilket gör att du enkelt kan övervaka din organisations säkerhetsprogram.
Vi förser också organisationer med en automatiserad verktygsuppsättning som underlättar efterlevnaden av ISO 27001-standarden. Dess användarvänliga design gör det enkelt att bevisa överensstämmelse.
Kontakta oss nu för att arrangera en demonstration.